V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Aloento
V2EX  ›  信息安全

火绒剑 成功把 迈克菲 删掉了

  •  1
     
  •   Aloento · 2022-09-15 03:55:01 +08:00 · 7302 次点击
    这是一个创建于 787 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景:公司发的电脑,强制入 AD 域,自带统一管理的企业版迈克菲。之前因为迈克菲自己抽风导致 Anyconnect 无法检测迈克菲运行状态,所以现在不要求迈克菲运行就可以加入公司内网。

    需求:运行我自己写的一些有一些“高危”操作(在迈克菲看来,但是实际上只是调用了一些底层 Win32API )的效率工具。我真的是连调试都调试不了我的代码,一生成产物就被光速删除,有时候运气好刚刚启动就被删除。

    经过:
    我尝试了许多办法,直接改注册表有保护,改启动项也有保护,常规删除更不可能
    用 PsExec 的话由于在域里面,完全无法注入 key ,提示网络找不到,也没戏
    PE 也进不了,有 UEFI 保护,还有 BitLocker

    在走投无路的时候想到了曾经 360 的以毒攻毒方法,就想能不能用另外一个杀毒软件来干掉迈克菲呢
    然后我就下了我经常用的火绒,打开火绒剑

    最初是尝试结束任务,无果
    修改注册表,启动项都有防护,我就一咬牙(大不了就是回公司重装系统),强制删除了迈克菲的几个服务程序
    重启

    然后迈克菲就跟我说再见了(虽然还是有迈克菲的驱动残留,但是防护功能已经废了)
    火绒你好!
    39 条回复    2022-12-10 23:41:25 +08:00
    ysc3839
        1
    ysc3839  
       2022-09-15 04:13:37 +08:00 via Android
    有签名就不防吗?也许可以试试 PCHunter ,不过免费版似乎比较久没更新了。
    mxT52CRuqR6o5
        2
    mxT52CRuqR6o5  
       2022-09-15 04:26:18 +08:00 via Android
    @ysc3839 驱动之间的东西如果互相对抗,很可能把电脑搞崩的
    PMR
        3
    PMR  
       2022-09-15 05:35:14 +08:00 via Android
    任何进程都能被 kill
    Windows 最高权是 driver inject kernel-mode
    levelworm
        4
    levelworm  
       2022-09-15 05:42:28 +08:00 via Android
    好奇一把楼主写的什么工具
    PogOnion
        5
    PogOnion  
       2022-09-15 05:46:59 +08:00
    不能说楼主闲得无聊,只能说公司卡的太严
    snw
        6
    snw  
       2022-09-15 06:33:13 +08:00
    @ysc3839
    说到签名过白,想起前段时间黑客用带签名的米哈游反作弊驱动杀掉杀毒软件
    JensenQian
        7
    JensenQian  
       2022-09-15 07:45:48 +08:00 via Android   ❤️ 1
    来个大数字,都得被关
    AS4694lAS4808
        8
    AS4694lAS4808  
       2022-09-15 07:52:30 +08:00 via Android
    可以加排除文件或者文件夹吧?我司也一样,python 写的脚本一运行就被干掉,后来找 it 申请加的签名白名单,就很烦
    linuslv
        9
    linuslv  
       2022-09-15 08:24:48 +08:00
    应该向公司申请不使用 McAfee ,毕竟影响自身工作了。
    tankren
        10
    tankren  
       2022-09-15 08:38:35 +08:00
    @PogOnion 不够严,居然还能自己下载 exe 并管理员执行
    melsp
        11
    melsp  
       2022-09-15 08:46:56 +08:00 via Android
    哇塞,企业版迈克菲😨
    king888
        12
    king888  
       2022-09-15 09:00:32 +08:00
    插楼问下,也是火绒,经常莫名其妙毫无提示的直接干掉本地 frpc 进程并删除文件,一脸懵逼,查了 windows 安全中心保护记录记录,火绒隔离区 /安全日志毫无记录

    真一脸懵逼...
    maskerTUI
        13
    maskerTUI  
       2022-09-15 09:06:35 +08:00
    迈克菲的防护确实是太多误报了,我是用 pe 进去系统直接删文件的。
    peasant
        14
    peasant  
       2022-09-15 09:07:56 +08:00
    @king888 frpc 很多杀毒软件都提示有毒吧,就算不装杀毒软件,windows 自带的都会阻止 frpc 运行,只能设置排除才能安稳运行
    king888
        15
    king888  
       2022-09-15 09:15:34 +08:00
    @peasant 没有任何提示就杀掉了,一脸懵逼
    king888
        16
    king888  
       2022-09-15 09:16:01 +08:00
    加白名单也会干掉
    thtznet
        17
    thtznet  
       2022-09-15 09:17:32 +08:00
    加了 AD 还能自己装软件,那么意义何在?
    bitllion
        18
    bitllion  
       2022-09-15 09:20:29 +08:00
    @king888 火绒+frp 稳定运行一年了,没出任何问题,是不是你没有把 frp 放到 service 里?
    huangsijun17
        19
    huangsijun17  
       2022-09-15 09:36:00 +08:00
    备份系统后拿微软的 Autoruns 去删掉各类“启动项”即可。一般你搜索麦咖啡的签名上的公司名,就能列出所有。
    https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
    virusdefender
        20
    virusdefender  
       2022-09-15 09:47:16 +08:00
    驱动层的对抗没啥意义,所以大家都不咋处理
    Deteriorator
        21
    Deteriorator  
       2022-09-15 09:57:31 +08:00
    迈克菲可以通过专门的软件完整地卸载掉
    janus77
        22
    janus77  
       2022-09-15 10:22:41 +08:00
    这种事不是找公司 IT 部门解决吗,至于费这么大工夫
    TtTtTtT
        23
    TtTtTtT  
       2022-09-15 10:23:17 +08:00
    所以已经不在本机上开发代码了。
    前几天还以为麦咖啡被删了,没想到是换了个 logo 。
    chioplkijhman
        24
    chioplkijhman  
       2022-09-15 11:33:58 +08:00
    公司 IT 遇到自己“解决问题”的人会觉得很。。至少不会夸你。
    qeqv
        25
    qeqv  
       2022-09-15 11:40:37 +08:00
    @chioplkijhman 笑死,我有一次自己重装系统被 IT 喷了
    xingtian
        26
    xingtian  
       2022-09-15 13:04:16 +08:00
    小伙子你该不会是 hisense 公司的吧?@Aloento
    PogOnion
        27
    PogOnion  
       2022-09-15 14:13:44 +08:00
    #10 应该设计成从电脑导入导出文件需求授权 XD
    lonenol
        28
    lonenol  
       2022-09-15 14:22:52 +08:00
    我们公司也是内置迈克菲。。。。不知道这软件是怎么占领企业的。。
    abolast
        29
    abolast  
       2022-09-15 14:51:35 +08:00
    删得好,感觉这个迈克菲比 360 毒霸还要恶心
    cjpjxjx
        30
    cjpjxjx  
       2022-09-15 15:00:08 +08:00
    @qeqv 以前我当 IT 的时候,有人自作聪明用一些骚操作把加域的电脑退域了,然后登不上账号了又来找我
    WOLFRAZOR
        31
    WOLFRAZOR  
       2022-09-15 17:49:58 +08:00
    內置 Mcafee 。之前試過內置的就有 Symantec ,360 ;還有安天。安天不給卸載,因為會有人來檢查。
    Symantec 和 360 都是重裝抹掉,懶得卸載(那時候卸載了也沒問題,不像現在用安天這麼麻煩)
    HFX3389
        32
    HFX3389  
       2022-09-15 18:14:42 +08:00
    @cjpjxjx #30 不能用本地账户吗
    Aloento
        33
    Aloento  
    OP
       2022-09-15 19:39:03 +08:00
    @AS4694lAS4808 没有这个功能,我们的迈克菲连用户界面都调不出来,完全静默,托盘图标都没有

    @linuslv @janus77 部门没权限单独关掉某个人的杀毒软件,只能让我们自己想办法解决

    @maskerTUI 我们 PE 进不去呀哎

    @thtznet 我申请了 local admin 权限,挺麻烦的层层审批,但是申请到了意思就是你随便弄吧

    @Deteriorator 细说?

    @xingtian 不是

    @lonenol @abolast 廉价授权,利益交换。美团用的卡巴斯基呢

    @HFX3389 本地账户也被域策略组控制,不知道有没有办法破解策略组限制
    Deteriorator
        34
    Deteriorator  
       2022-09-15 20:54:15 +08:00
    @Aloento 网上搜一下就有,我当时是我们公司的 IT 给的专门的软件卸载掉的
    abc8678
        35
    abc8678  
       2022-09-16 00:16:07 +08:00 via Android
    @snw 当年学易语言的时候,一生成就被 360 删。然后在网上找了一个数字签名克隆工具,把国内其他公司的签名套上去就不报毒了。但苹果的签名克不到
    mikywei
        36
    mikywei  
       2022-09-16 11:38:54 +08:00
    然后 Anyconnect 思科 sslvpn 策略改回来,要求是使用迈克菲才能连接公司内网,又得装回来哈哈。
    akakidz
        37
    akakidz  
       2022-09-16 14:46:48 +08:00
    事实证明门锁只能防住好人😂当公司安全性达到标准程度,再加大力度导致的结果就是恶心自己人
    Autonomous
        38
    Autonomous  
       2022-12-10 21:59:55 +08:00
    Aloento
        39
    Aloento  
    OP
       2022-12-10 23:41:25 +08:00
    @mikywei 后面确实改了,需要 McAfee agent 运行,但是不要求主程序运行
    所以装了一个壳子,但是里面的服务全部都是 disabled

    @Autonomous 您似乎很聪明
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2589 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 00:04 · PVG 08:04 · LAX 16:04 · JFK 19:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.